医疗行业数据安全解决方案 | 全知科技（杭州）有限责任公司

市场背景

行业背景

随着我国卫生信息化建设进程的推进，新一轮医疗改革已逐渐形成，各大医院逐步开始建设完善的“智慧医院”，与银行、社保、卫健等单位互联互通。在这个过程中，医疗行业也逐渐暴露出了数据安全建设的不足，尤其是医院内部存在着大量的业务系统，每个业务系统都需要经历数据的采集、传输、存储、使用等阶段，数据流动场景复杂，其中因敏感接口管理不规范带来的数据安全事件引起了广泛的关注。

客户痛点

法律合规要求

国家卫生健康委、国家中医药局、国家疾控局联合印发《医疗卫生机构网络安全管理办法》中明确规定：“各医疗卫生机构应每年对数据资产进行全面梳理，在落实网络安全等级保护制度的基础上，依据数据的重要程度以及遭到破坏后的危害程度建立本单位数据分类分级标准。”

分类分级难开展

医疗行业开展数据分类分级建设是一项实质性难题。由于医疗行业业务复杂，医疗数据带有大量业务属性，数据体量大、格式复杂多样并分散各处，只能单纯依靠人工梳理，准确率低、周期长，且受限于人员专业能力，分类分级工作推进进度缓慢；

数据风险复杂

医院信息中心汇集着医院所有医患个人信息、诊疗数据等，是数据安全的“重灾区”，存在大量的数据安全风险，如登录未鉴权、接口返回URL、参数可遍历、异常访问/下载、接口任意发送短信等；

安全意识淡薄

医院业务运维人员安全意识淡薄，而权限较大，导致经常出现一些账号借用、滥用的情况，导致数据泄露事件的发生；而且在事后，又缺乏相应的溯源工具与手段，难以完成主体溯源。

方案特色

有效的数据安全建设

有效的数据安全建立在准确的目标上。基于数据资产台账的梳理，帮助医院清晰掌握整个医院系统内部存在多少应用服务，有多少应用API接口，数据库中有多少结构化数据、非结构化数据，而哪些是重要的敏感数据等；

业务数据流动全流程刻画

对医院的业务数据流动进行全流程刻画。通过对数据流的清晰刻画，帮助医院理清楚数据所对应的业务系统，数据存在哪些风险暴露面，由什么人访问，以及最终流向等，时刻掌握数据状态；

数据风险评估

从风险、合规两个层面来对数据流动过程中的风险进行持续的监测评估，帮助医院及时发现在数据流转过程中有没有存在风险，包括登陆未鉴权、参数可遍历、弱口令等脆弱性；或API接口风险、内部人员数据行为异常等。

方案价值

满足监管合规要求: 定期完成数据资产的全面梳理，实现数据资产自动分类分级，满足相关政策合规要求。

流量自动解析、归类: 通过对镜像流量的自动解析，自动评估医院内部数据资产的脆弱性，帮助业务部门及时完成整改。

数据流转风险全监测: 基于数据生命周期，从职工侧、互联网侧、开发运维侧等多维度动态监测数据安全风险，实现风险可感知，及时响应避免引发安全事件。